CVE-2025-46762

Schema parsing in the parquet-avro module of Apache Parquet 1.15.0 and previous versions allows bad actors to execute arbitrary code. While 1.15.1 introduced a fix to restrict untrusted packages, the default setting of trusted packages still allows malicious classes from these packages to be executed. The exploit is only applicable if the client code of parquet-avro uses the "specific" or the "reflect" models deliberately for reading Parquet files. ("generic" model is not impacted) Users are recommended to upgrade to 1.15.2 or set the system property "org.apache.parquet.avro.SERIALIZABLE_PACKAGES" to an empty string on 1.15.1. Both are sufficient to fix the issue.

CVSS v3 9.8 CRITICAL

9.8^/10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://lists.apache.org/thread/t7724lpvl110xsbgqwsmrdsns0rhycdp	Mailing List
http://www.openwall.com/lists/oss-security/2025/05/02/1	Mailing List

Configurations

Configuration 1 (hide)

cpe:2.3:a:apache:parquet:*:*:*:*:*:*:*:*

History

13 May 2025, 20:25

Type	Values Removed	Values Added
References	~~() https://lists.apache.org/thread/t7724lpvl110xsbgqwsmrdsns0rhycdp -~~	() https://lists.apache.org/thread/t7724lpvl110xsbgqwsmrdsns0rhycdp - Mailing List
References	~~() http://www.openwall.com/lists/oss-security/2025/05/02/1 -~~	() http://www.openwall.com/lists/oss-security/2025/05/02/1 - Mailing List
CPE		cpe:2.3:a:apache:parquet::::::::
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 9.8
First Time		Apache Apache parquet
CWE		NVD-CWE-noinfo

07 May 2025, 14:13

Type	Values Removed	Values Added
Summary		(es) El análisis de esquemas en el módulo parquet-avro de Apache Parquet 1.15.0 y versiones anteriores permite a actores maliciosos ejecutar código arbitrario. Si bien la versión 1.15.1 introdujo una corrección para restringir los paquetes no confiables, la configuración predeterminada de los paquetes confiables aún permite la ejecución de clases maliciosas de estos paquetes. El exploit solo es aplicable si el código cliente de parquet-avro utiliza deliberadamente los modelos "specific" o "reflect" para leer archivos de Parquet. (El modelo "genérico" no se ve afectado). Se recomienda a los usuarios actualizar a la versión 1.15.2 o configurar la propiedad del sistema "org.apache.parquet.avro.SERIALIZABLE_PACKAGES" con una cadena vacía en la versión 1.15.1. Ambas opciones son suficientes para solucionar el problema.

06 May 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-05-06 10:15

Updated : 2025-05-13 20:25

NVD link : CVE-2025-46762

Mitre link : CVE-2025-46762

CVE.ORG link : CVE-2025-46762

JSON object : View

Products Affected

apache

parquet

CWE

CWE-73

External Control of File Name or Path

NVD-CWE-noinfo

9.8 /10